软告工作室真是勤奋，再次将它们的产品进行了更新，这次没样本，不过看样子，跟上次相比，好像也只是替换了几个文件，换汤不换药，处理它的关键依然是驱动和服务

卡巴斯基对其定义名为：广告程序 not-a-virus:AdWare.Win32.BHO
释放文件
%Documents and Settings%\All Users\「开始」菜单\程序\启动\ruango.lnk
%System%\MSRundll.exe
%System%\lfrmewrk.exe
%System%\bofang.dll
%System%\hbcmd.dll
%System%\DRIVERS\usb8028.sys
%System%\DRIVERS\usb8028x.sys
添加注册表信息
启动文件夹
%Documents and Settings%\All Users\「开始」菜单\程序\启动\ruango.lnk
指向 %System%\MSRundll.exe
添加服务或驱动
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EMONSRV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\EmonSrv]
指向%System%\lfrmewrk.exe

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\usb8028]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_USB8028]
指向 %System%\DRIVERS\usb8028.sys

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\usb8028x]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_USB8028X]
指向 %System%\DRIVERS\usb8028x.sys

添加浏览器加载项
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\]
指向{C6844939-C324-41E0-84D0-D42F8DA5EBAD} %System%\hbcmd.dll

解决办法
A：使用Windows清理助手来处理，经反馈，该软件能处理掉它

B：手工处理
1、断网，运行冰刃IceSword
冰刃IceSword的下载地址在下面：

2、设置冰刃IceSword---文件----设置---勾选 禁止进线程创建
3、终止MSRundll.exe和lfrmewrk.exe的进程
4、按照上文描述，依次用冰刃IceSword找到并删除所有病毒文件和注册表信息

PS:
1、由于镜像问题，该病毒添加的注册表信息服务和驱动的具体位置不一定在ControlSet003，可能是ControlSet001，或者是ControlSet等，仔细找找
2、此次没有样本，仅根据四例求助邮件所得，应该少了一些无关影响的东西，但不影响大局，无论手工还是借助Windows清理助手，处理反馈良好
3、该病毒应该继续更新中，因此本文描述可能与实际情况不同
本文引用地址：http://www.ljack.com.cn/post/279.html